Cybersicherheit für Start-ups
Cybersicherheit ist ein Wort, welches wohl jeder von uns schon einmal gehört hat. Trotzdem gibt es regelmäßig Opfer von Phishing-Angriffen oder Trojanern. Im Folgenden möchte ich das Thema vor allem aus der Perspektive von Start-ups etwas genauer betrachten.
Beginnen möchte ich mit einigen der häufigsten Angriffe:
Möglichkeiten von Angriffen
Man-in-the-Middle-Angriffe zielen auf die Kommunikation zwischen z. B. einem Mitarbeiter und einem Server oder einem Mitarbeiter und einem Klienten ab. Dabei geht es vor allem um das Gewinnen von Informationen, das Manipulieren dieser ist aber auch möglich.
Phishing wird vom Angreifer genutzt, um an Kennwörter für beliebige Dienste zu gelangen. Dabei werden meistens E-Mails im Namen einer wichtigen Institution verschickt, in denen über einen Link um die Eingabe des Benutzernamens und Passworts gebeten wird.
Denial-of-Service(DoS)-Angriffe werden durchgeführt, indem beispielsweise eine Website mit so vielen Anfragen überhäuft wird, dass der Server diese nicht mehr bearbeiten kann und im schlimmsten Fall für einen längeren Zeitraum zusammenbricht.
Dies mögen nun zu großen Teilen Angriffe auf Einzelgeräte und nicht auf Server gewesen sein. Aber vor allem in Zeiten des Homeoffices sind die privaten PCs der Mitarbeiter eine potenzielle Sicherheitslücke, da diese möglicherweise nicht über den nötigen Schutz wie ein Antivirenprogramm o. Ä. verfügen.
Wie betreffen Hacker-Angriffe Start-ups?
Als Nächstes möchte ich etwas genauer darauf eingehen, inwiefern dieses Thema Start-ups betrifft.
In Start-ups muss mit Ressourcen vor allem zu Beginn streng gehaushaltet werden, damit das gewünschte Produkt oder der gewünschte Dienst je den Markt erreicht. Deswegen wird häufig auf kostenlose Dienste zurückgegriffen. Daran ist prinzipiell nichts verwerflich, jedoch sollte sich ein junges Unternehmen Gedanken darüber machen, warum die zur Verfügung gestellten Arbeitsmittel wie z. B. Clouds eigentlich kostenlos sind. In den seltensten Fällen wird dies aus reiner Nächstenliebe sein. Es lohnt also ein genauerer Blick in die AGBs und die Sicherheitseinstellungen eines solchen Dienstes.
Auch sollte ein Start-up sich mit der rechtlich vorgeschriebenen Grundlage zur Datenspeicherung befassen oder sich beraten lassen. Zu finden sind diese Vorgaben in der DSGVO.
Um wie schon erwähnt Ressourcen zu sparen, ist es in Start-ups nicht unüblich, den eigenen PC oder Laptop zu verwenden. Jedoch ist die Wahrscheinlichkeit, bei einem privat verwendeten Gerät Opfer eines Virus o. Ä. zu werden, bedeutend höher. Denn die Hemmschwelle, auf beliebige Websites zu klicken oder sich etwas herunterzuladen, ist auf privaten Geräten in der Freizeit deutlich niedriger als auf einem Firmen-PC bei der Arbeit.
Die Folgen von unvorsichtigem Gebrauch der digitalen Medien können für ein Start-up verheerend sein. Die Möglichkeiten gehen von dem klassischen Datenraub über das Unbrauchbarmachen einer Website bis zur Löschung aller Daten von Kunden, was z. B. für ein Start-up, welches selbst Cloud-Dienste anbietet, den Ruin bedeuten würde.
Eine Möglichkeit, die man vielleicht nicht sofort vor Augen hat, ist das gezielte Abwerben von Mitarbeitern. Dieses wird durch das spezifische Sammeln von Daten über einen oder mehrere Angestellte möglich. Eine Methode dafür wäre z. B. der Man-in-the-Middle-Angriff. Es kann allerdings ähnlich gefährlich für das Bestehen des Unternehmens werden, wenn der Mitarbeiter den Arbeitsplatz wechselt und dieser als Einziger auf ein bestimmtes Themengebiet entsprechend ausgebildet war. Das mag bei einem Einzelfall noch zu kompensieren sein, geschieht dies allerdings in einem kurzen Zeitraum mehrfach, wird es den verbleibenden Arbeitern schwerfallen, dieses Defizit auszugleichen.
Möglichkeiten sich zu schützen
Aber wie kann ein Start-up mit wenig Geld nun eine möglichst hohe Stufe an Cybersicherheit erreichen?
Am effektivsten ist dies zu erreichen, indem man bei den grundlegenden Gegebenheiten beginnt. Ein sehr wichtiger Faktor sind hierbei die Mitarbeiter. Es ist wichtig, ihnen die Risiken und Konsequenzen begreifbar zu machen. Dabei sollte man nicht vergessen, ihnen Wege aufzuzeigen, diese zu umgehen. Dafür könnte man ein Paper anfertigen, welches immer wieder aktualisiert wird. Auf diesem Paper könnte man über die häufigsten Fallen wie z. B. Phishing-Mails aufklären und wie mit ihnen zu verfahren ist. Die Prävention ebendieser ist recht simpel, da darüber aufgeklärt werden könnte, dass ein Mitarbeiter von seinem Arbeitgeber nie über eine E-Mail mit einem Link dazu aufgefordert wird, sich in das Firmenkonto einzuwählen.
Ideal wäre es, seine Mitarbeiter zu motivieren, sich selbst über Cybersicherheit zu informieren. Dies könnte durch lockere Veranstaltungen oder Treffen zu diesem Thema geschehen, je nach bereits vorhandenem Wissen.
Wenn von Anfang an eine Basis für das Wissen um Cybersicherheit gelegt wird, ist es später bedeutend einfacher, mit steigenden Ressourcen dieses schnell zu erweitern.
Eine gänzlich kostenlose Option ist das Verwenden starker Passwörter anstelle von „1234“ o. Ä. Falls ein Passwortmanager genutzt wird, sollte dieser natürlich vorher auf seine Sicherheit überprüft worden sein.
Insofern außerbetriebliche Dienste genutzt werden, sollte dabei natürlich auch deren Verlässlichkeit geprüft werden.
Weitere Optionen sind erwartungsgemäß Antivirenprogramme, im Idealfall ergänzt durch Firmengeräte, welche nur zum Arbeiten verwendet werden. Da dies allerdings ein gewisses Budget voraussetzt, sollte nach Möglichkeit ein Kompromiss zwischen Kosten und Sicherheit gefunden werden.
Ein Beispiel dafür wäre das grundsätzliche Nutzen selbst mitgebrachter Geräte. Für Entwicklungszwecke jedoch ein Gerät, welches nicht mit dem Internet verbunden ist.
Auch gibt es für kleine Unternehmen Angebote im Bereich der Antivirenprogramme, die bedeutend kostengünstiger sind als für Einzelpersonen.
Fazit
Im Großen und Ganzen sei zu sagen, dass Cybersicherheit für jedes Start-up eine nicht unwichtige Rolle spielt. Es bedarf zu Anfang auch keines sehr teuren Beraters, allerdings sollte die Infrastruktur des Betriebs auch immer im Hinblick auf die virtuelle Sicherheit ausgebaut werden, um strafrechtliche Konsequenzen wie auch Hackerangriffe zu vermeiden.
